PCI-DSS 4.0 llegará antes de lo que cree, y es una oportunidad para aumentar la resistencia cibernética de su organización.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Recursos para empezar
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
